Lista kontroli dostępu

Systemy Windows z rodziny NT posiadają w przeciwieństwie do Windows 9x „prawdziwą” obsługę użytkowników i grup. Zarówno uprawnienia na poziomie udostępniania jak i na poziomie systemu plików NTFS bazują na listach kontroli dostępu (tzw. ACL – Access Control List). Pozwalają one na bardzo szczegółowe zdefiniowanie uprawnień do poszczególnych obiektów (np. plików, katalogów, udostępnień). Ta szczegółowość wynika z dwu rzeczy: 

  • Z dużej ilości rodzajów i ich szczegółowości uprawnień jakie można przypisać szczególnie na poziomie systemu plików NTFS.
  • Dlatego że uprawnienia można nadawać (Zezwalaj) ale i odbierać (Odmów).

Przydatność szczególnie tej drugiej zalety jest zrozumiała po zrozumieniu jak działają uprawnienia. Zaznaczenie pola „Zezwalaj” nadaje użytkownikowi (grupie) dane uprawnienia. Uprawnienia każdego użytkownika do danego obiektu są sumą uprawnień wynikających z praw jaki ma dany użytkownik oraz z praw jakie mają grupy do których on przynależy. Zaznaczenie „odmawiaj” ma zastosowanie wtedy gdyż temu użytkownikowi chcemy zabrać prawo do danego obiektu mimo posiadania przez niego praw wynikających z jego przynależności do danej grupy użytkowników. Czyli ujmując to inaczej jest to nadanie wyjątku („Odmawiaj”) od reguły („Zezwól”). Z kolei uprawnienia do udziału (udostępnienia) sieciowego są wypadkową (różnicą) wynikającą z uprawnień nadanych na poziomie udziału oraz na poziomie systemu plików NTFS. Czyli zawsze zostaną zastosowane bardziej rygorystyczne uprawnienia. Oczywiście jeśli używasz partycji FAT to jedyną metodą nadawania uprawnień są uprawnienia na poziomie udziału. Te akurat cechy nie są niczym szczególnym (znaczy w Samba/Unix jest podobna zasada) ale warto o tym wiedzieć. Kolejną cechą ACL jest to że uprawnienia do danego obiektu mogą być przypisywane dla wielu użytkowników i grup i każdy z nich może mieć inne prawa zupełnie nie powiązane z innymi użytkownikami lub grupami, które mają "cokolwiek wspólnego" z tym obiektem. Uprawnienia udostępniania

Udostępniając zasób możesz każdemu użytkownikowi lub grupie przydzielić uprawnienia:

Pełna kontrola - Jak sama nazwa wskazuje użytkownik z takimi prawami posiada pełną swobodę działania, może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące oraz zmieniać uprawnienia i przejmować na własność.. Nadawaj te uprawnienie ze szczególną ostrożnością. 

Zmiana - Użytkownik posiada te same uprawnienia co Pełna kontrola poza prawem do zmiany uprawnień i przejmowania na własność, czyli może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące. 

Odczyt - Użytkownik posiada prawo do odczytywania plików (w tym ich uruchamiania), nie może tworzyć nowych plików i usuwać ani modyfikować już istniejących.